En conjunto, estas recomendaciones ofrecen una hoja de ruta para, si no evitar desastres similares en la nube en el futuro, al menos posicionar a los CSP y a sus clientes para abordar este tipo de incidentes en una mejor postura. Si bien cada recomendación es muy sustantiva y valiosa, los expertos plantean algunas de las recomendaciones más importantes que los CSP deberían considerar a raíz de la investigación.
La respuesta de la industria de la seguridad es en gran medida positiva
La reacción de la industria al informe indica que la CSRB va en la dirección correcta, incluso si tomará tiempo asimilar las recomendaciones del informe. «Hay mucho para consumir», le dice a CSO James Campbell, director ejecutivo y cofundador de Cado Security. Desde la perspectiva de Campbell, una conclusión destacada «es ganar tanta visibilidad como sea posible» cuando se trata de entornos de nube.
Un portavoz de Microsoft le dice a CSO que la compañía todavía está revisando las recomendaciones del informe final, pero dice: «Apreciamos el trabajo de la CSRB para investigar el impacto de los actores de amenazas de estados-nación con buenos recursos que operan de manera continua y sin una disuasión significativa».
«Pensamos que el informe era excelente», le dice a CSO Phil Venables, vicepresidente de Google y CISO de Google Cloud. “Dimos la bienvenida al informe. Creo que la CSRB hizo un buen trabajo en esto”. Venables cree que la mayoría de las recomendaciones más amplias del informe surgen de los fallos de Microsoft, que «eran cosas que la mayoría de los demás proveedores de la nube ya tenían controles para mitigar».
«Cuando nos fijamos en las recomendaciones más amplias, especialmente algunas de las más detalladas, aunque el informe las dirige a toda la industria, claramente están dando los comentarios de otras partes del informe dirigidos a Microsoft», dice Venable.
El informe elogia a Google, AWS y Oracle por adoptar «una arquitectura de seguridad que se adapta mejor a [their] infraestructura tecnológica y casos de uso de clientes”, en contraste con la “cultura corporativa de Microsoft que despriorizó tanto las inversiones en seguridad empresarial como la gestión rigurosa de riesgos”.